fix!: check host header to prevent DNS rebinding attacks and introduc…

resolve #1808

vitejs/vite@bd896fb の反映です。

Author: shuuji3

config/preview-options.md

@@ -19,6 +19,15 @@ Vite ではなく他のサーバーがレスポンスを返す場合がありま
 
 :::
 
+## preview.allowedHosts
+
+- **型:** `string | true`
+- **デフォルト:** [`server.allowedHosts`](./server-options#server-allowedhosts)
+
+Vite が応答することを許可するホスト名。
+
+詳細は [`server.allowedHosts`](./server-options#server-allowedhosts) を参照してください。
+
 ## preview.port
 
 - **型:** `number`

config/server-options.md

@@ -42,6 +42,20 @@ WSL2 上で Vite を動作させる場合、LAN からサーバーにアクセ
 
 :::
 
+
+## server.allowedHosts
+- **型:** `string[] | true`
+- **デフォルト:** `[]`
+
+Vite が応答することを許可するホスト名。
+`localhost` と `.localhost` 以下のドメインとすべての IP アドレスはデフォルトで許可されます。
+HTTPS を使用する場合は、このチェックはスキップされます。
+
+文字列が `.` で始まる場合、`.` なしのホスト名とそのホスト名配下のすべてのサブドメインを許可します。たとえば、`.example.com` は `example.com`、`foo.example.com`、`foo.bar.example.com` を許可します。
+
+`true` に設定した場合、サーバーが任意のホストのリクエストに応答することを許可します。
+DNS リバインディング攻撃に脆弱になってしまうため、この設定は推奨されません。
+
 ## server.port
 
 - **型:** `number`